样本:瑞星毁灭机 作者: 14 四月 2008 时间: 14:09 and have 1 条评论

使用该样本可简单的摧毁瑞星杀毒软件的全部功能,仅供测试,运行本程序不会带来任何负面影响,而且实际上这个东西还是有些问题,在正常设置下这个东西根本就进不去ring0层,也没法结束掉瑞星,今天晚上貌似瑞星已经把它收编了…话说回来,这个玩意不会是瑞星故意放出来显示自己强大的吧?看看过几天毛总会不会出来炒这个事就知道了…
点击下载

理论上说,这种瑞星毁灭机也应该被称为一种破坏程序或者病毒,我很好奇其他杀软是怎么处理这个”敌人的敌人的” 下面是VirusTotal刚刚的分析结果…虽然今天的病毒库瑞星并没有更新,但是看起来,瑞星的”主动行为分析”好像并不怎么好使,瑞星并没有认定这个程序可疑…跳转后是样本分析报告

 病毒扫描测试,一半的杀软报毒或可疑,点击图片看大图 再点放大镜继续放大

 

 

行为分析:只运行程序不点破话按钮无任务不良行为 
[ DetectionInfo ]
   * Sandbox name: W32/Suspicious_N.gen
   * Signature name: W32/Suspicious_N.gen
   * Compressed: YES
   * TLS hooks: NO
   * Executable type: Application
   * Executable file structure: OK

 [ General information ]
   * File length:       424708 bytes.
   * MD5 hash: 6ec2ec439582baaf8f2ac8ba0448d8c5.

 [ Changes to filesystem ]
   * Creates directory C:\WINDOWS\TEMP\E_00000004.
   * Creates file C:\WINDOWS\TEMP\E_00000004\krnln.fnr.

 [ Signature Scanning ]
   * C:\WINDOWS\TEMP\E_00000004\krnln.fnr (381000 bytes) : W32/Suspicious_N.gen.

发表评论

1 条评论 : “ 样本:瑞星毁灭机 ”

  1. 1
    itwenda :

    瑞星有时候的确在搞小聪明

发表评论